apisix: 서울 게이트웨이 global_rules, 라우트별 limit-req 설정 기록

2026-03-15 12:37:13 +09:00
parent 7de5c4a6ae
commit 66126cbc1e
1 changed files with 17 additions and 4 deletions
--- a/infra/apisix.md
+++ b/infra/apisix.md
@@ -21,10 +21,23 @@ BunnyCDN(inouter, ID 5316471) → apisix-osaka(172.233.93.180) → 백엔드
 ```
 - 용도: KR존 리버스 프록시
 - upstream: K3s Traefik (192.168.9.134/214/135:443), LAN 서비스(192.168.9.x)
 - 라우트: nocodb.inouter.com, hcv.inouter.com, gitea.anvil.it.com
 - SSL: cert-manager wildcard `*.inouter.com` 인증서
 - SafeLine WAF 연동 (chaitin-waf 플러그인)
 - Admin API: `curl http://10.179.99.126:9180/apisix/admin` (incus proxy device, 192.168.9.0/24에서 접근 가능)
 - etcd: apisix-etcd (10.179.99.101)
 #### global_rules
 - `real-ip` — source: http_x_real_ip, trusted: 0.0.0.0/0
 - `chaitin-waf` — mode: block, SafeLine detector: 10.165.246.10:8000 (OVN 네트워크, plugin_metadata)
 - `http-logger` → CrowdSec (10.253.100.240:8085, 인증: apisix-crowdsec-log-2024)
 #### 라우트 및 limit-req
 | 라우트 ID | 호스트 | upstream | limit-req (rate/burst) |
 |-----------|--------|----------|----------------------|
 | gitea-anvil-it-com | gitea.anvil.it.com | 192.168.9.100:8418 | 50/30 |
 | hcv-inouter-com | hcv.inouter.com | K3s Traefik :443 (roundrobin) | 20/10 |
 | nocodb | nocodb.inouter.com | K3s Traefik :443 (roundrobin) | 100/50 |
 | nocodb-nuxt | nocodb.inouter.com | K3s Traefik :443 (roundrobin) | 100/50 |
 ### BunnyCDN Pull Zone 매핑
@@ -65,10 +78,10 @@ BunnyCDN WAF가 NocoDB JS를 오탐 차단하여 CDN 우회 처리 (2026-03-15).
 ## CrowdSec 로그 연동
-APISIX(osaka) CrowdSec 로그 연동 현황 (2026-03-01)
+오사카/서울 양쪽 APISIX → CrowdSec (10.253.100.240:8085) http-logger global_rules로 전송.
 인증: Authorization: apisix-crowdsec-log-2024
 커스텀 파서: custom/apisix-json-logs (403 응답만 필터)
-osaka APISIX에서 40K줄 수신, 403만 파싱 (커스텀 파서), 시나리오 매칭
+시나리오 매칭으로 반복 공격자 탐지.